Amplíe la seguridad completa de los datos a la nube pública con DSPM

Recientemente, los ataques dirigidos directamente a la nube han aumentado un 288 %.¹ Ahora que las organizaciones envían zettabytes de datos a la nube, esto es una receta para el desastre. Además, con datos confidenciales como PII, PCI, PHI y secretos dispersos en múltiples nubes, cuentas, servicios y almacenes de datos, junto con una visibilidad y comprensión deficientes, priorizar sus datos en la nube ya no es una opción. Es un requisito.

Los enfoques actuales en materia de seguridad de datos son insuficientes

Las organizaciones pueden gastar millones de dólares cada año en múltiples soluciones de seguridad para proteger sus datos. Pero este enfoque no es escalable y requiere muchas operaciones manuales, lo que genera una sobrecarga de alertas y más brechas de seguridad, especialmente en entornos multinube complejos. Mientras tanto, el coste promedio global de una filtración de datos aumentó un 15 % en los últimos tres años a aproximadamente 4,45 millones de dólares estadounidenses, y el 82 % de las infracciones de datos involucran datos almacenados en entornos de nube.²

Además, con el enfoque tradicional de seguridad de datos, las organizaciones luchan por:

• Descubra y clasifique datos en la nube: ¿dónde se almacenan los datos confidenciales? ¿Qué tipo de datos son?
• Identifique datos en la nube: ¿quién tiene acceso a estos datos? ¿Es compatible?
• Contextualice los datos de la nube: ¿están expuestos los datos? ¿Cuál es la postura de seguridad de mis datos?

¡Hola Mundo! Conozca Data Security Posture Management (DSPM) de Zscaler

Para abordar los desafíos actuales de seguridad de datos en la nube, nos complace lanzar nuestra solución Zscaler DSPM totalmente integrada para clasificar, detectar y proteger de forma proactiva sus datos en la nube.

Como parte clave de la plataforma Zscaler AI Data Protection, Zscaler DSPM extiende la seguridad sólida y mejor de su clase a sus datos a la nube pública. Proporciona visibilidad granular de los datos de la nube, clasifica e identifica los datos y el acceso, y contextualiza la exposición de los datos y la postura de seguridad, capacitándole para prevenir y remediar las filtraciones de datos de la nube a escala.

A diferencia de las soluciones de seguridad de datos tradicionales o independientes, utiliza un motor DLP único y unificado para brindar protección de datos consistente en todos los canales, como terminales, correo electrónico, SaaS y ahora IaaS/PaaS. Al seguir a todos los usuarios en todas las ubicaciones y controlar los datos en uso, en movimiento y en reposo, se garantiza que tanto los datos estructurados como los no estructurados estén perfectamente protegidos y cumplan con las normas.

Principales capacidades y ventajas:

• Descubra y clasifique datos: analice y descubra datos confidenciales en varias plataformas y servicios en la nube en tiempo real. Aproveche la clasificación de datos precisa basada en IA respaldada por Zscaler Zero Trust Exchange™, que supervisa miles de millones de transacciones diariamente.
• Asigne y rastree la exposición: obtenga una vista unificada de la seguridad, el inventario y el cumplimiento de los datos confidenciales en su entorno multinube. Obtenga una vista granular, basada en riesgos y centrada en el usuario de todas las rutas de acceso a configuraciones y datos de misión crítica. Analice riesgos ocultos como configuraciones incorrectas, permisos excesivos y vulnerabilidades.
• Remedie riesgos: mitigue los riesgos de forma proactiva identificando posibles brechas de seguridad e implementando los controles necesarios, y solucione fácilmente los problemas y las infracciones en la fuente con una corrección guiada basada en el contexto.
• Garantice una postura de seguridad uniforme: aplique una seguridad de datos uniforme y de primera clase en todas partes, desde el terminal hasta el correo electrónico, SaaS, la nube pública, etc.
• Garantía de cumplimiento: garantice el cumplimiento continuo de las regulaciones del sector y los estándares de protección de datos. Asigne continuamente la postura frente a marcos regulatorios como RGPD, HIPAA y PCI DSS para identificar y corregir infracciones de cumplimiento.
• Flujos de trabajo integrados: integre perfectamente con su ecosistema de seguridad existente, servicios de terceros, herramientas nativas para priorización de riesgos y aplicaciones de colaboración en equipo.

Cómo Zscaler DSPM puede resolver sus problemas de seguridad reales

Descubra y clasifique sus datos más confidenciales

Para comprender sus datos en la nube pública, incluidos qué tipos de datos se almacenan, los servicios que almacenan los datos y dónde se encuentran los datos confidenciales, Zscaler DSPM puede analizar toda su organización o cuentas específicas que desea proteger. De forma predeterminada, Zscaler DSPM tomará todos los clasificadores de IA, diccionarios y motores DLP listos para usar disponibles, así como cualquier motor personalizado, para descubrir y clasificar los datos.

DSPM permite a los equipos de seguridad descubrir y clasificar datos en múltiples ubicaciones de red y nube. Proporciona visibilidad integral de la ubicación de los archivos, la categorización, la clasificación, los permisos de acceso y los riesgos de cumplimiento. Esto ayuda a identificar configuraciones incorrectas, controles de acceso inadecuados y vulnerabilidades que podrían provocar infracciones de datos.

Cifra 1: Panel de control de DSPM: descubrimiento de datos 

Los equipos de seguridad pueden investigar los datos en profundidad centrándose en un tipo de datos específico para obtener información relacionada, como el volumen, la distribución geográfica de los datos y los servicios que almacenan este tipo de datos. Por ejemplo, podemos ver que los registros médicos se almacenan principalmente en depósitos de almacenamiento, algunos en unidades de máquinas virtuales y sólo se detectaron unos pocos en bases de datos.
 

Para algunas organizaciones, es importante inspeccionar los datos desde una perspectiva geográfica, como una geografía específica o una vista del desglose de los datos por geografía. Con geofencing, Zscaler DSPM puede ayudar a las organizaciones a inspeccionar y restringir el uso de los datos a ubicaciones/geografías específicas.
 

Los equipos de seguridad pueden obtener información clara en cuanto a los tipos y el volumen de datos almacenados en cada ubicación y comprender el desglose por tipo de almacenamiento de datos. Esto proporciona una poderosa visibilidad y control sobre qué datos se ejecutan en sus nubes, lo que permite a los equipos optimizar la configuración de DSPM, manteniéndolo como un análisis completo y amplio, o enfocado en tipos de datos específicos que les interesan.

Cifra 2: Panel de control de DSPM: vista de 360 grados de los almacenes de datos en el inventario de datos

Los equipos de seguridad pueden profundizar un poco más en la investigación. Desde cualquiera de los enlaces, puede explorar en profundidad hasta un solo nivel de almacén de datos, examinar la información específica allí y obtener visibilidad del almacén de datos. Esto facilita la comprensión de la postura, la obtención de información sobre la forma en que se etiquetan los datos o la recopilación de muchos otros tipos de información (por ejemplo, el proyecto del que forma parte, el propietario) para ayudar a comprender mejor los datos.

Identifique, investigue y remedie riesgos

Después de haber pasado por diferentes modos de inspección, los equipos de seguridad ahora tienen total claridad sobre el paradero de los datos en la nube. Su próxima preocupación sería:

• ¿Cuáles son las principales preocupaciones y riesgos de seguridad para los datos?
• ¿La configuración actual de las políticas de seguridad restringe el riesgo de pérdida de datos?
• ¿La configuración actual ofrece controles adecuados para evitar el acceso malintencionado o la exposición accidental de los datos?
• ¿Cuál puede ser el siguiente paso para proteger los datos confidenciales en la nube y mantener una postura de seguridad consistente?

DSPM puede abordar estas inquietudes automáticamente, utilizando algoritmos de IA y ML combinados con correlación de amenazas avanzada para identificar y priorizar los riesgos de datos. Analiza el contexto y el contenido de los datos para identificar información confidencial (por ejemplo, propiedad intelectual, PII, registros médicos), priorizar los riesgos de los datos y ayudar a los equipos de seguridad a centrar sus esfuerzos en proteger los activos de datos más críticos.

Cifra 3: Panel de control de DSPM: principales almacenes de datos de riesgo 

En función de los hallazgos de la postura y los datos confidenciales, el sistema clasifica los almacenes de datos según el mayor o el menor riesgo que representan para la organización. Básicamente, si sólo tiene una hora para mejorar su riesgo en la nube, comience desde la parte superior de este panel y avance hacia abajo.

También se puede ver que se generaron alertas, cada una de las cuales describe un vector de ataque que generó preocupaciones. La vista de alerta de DSPM proporciona una vista precisa pero simple que detalla el problema detectado. En el ejemplo de la figura 3, el impacto de un posible ataque a través de estos vectores sería enorme ya que ese contenedor de S3 contiene un gran volumen de registros confidenciales. En conjunto, estos factores generan un riesgo crítico.

Una vez que los equipos de seguridad comprenden esta circunstancia, el siguiente paso normalmente sería aprender todo lo referente al almacén de datos y resolver los problemas potenciales, reduciendo así el riesgo de seguridad de los datos. DSPM ofrece una comprensión completa de los problemas de seguridad con una guía de solución paso a paso para ayudar a los equipos de seguridad, equipos multifuncionales y partes interesadas del proyecto a abordarlos.

Veamos un ejemplo para comprender cómo DSPM puede ayudar a identificar, priorizar y remediar el riesgo.

Cifra 4: Vista detallada de alerta

En este ejemplo, estábamos explorando un vector de ataque avanzado que permitía a un usuario malintencionado obtener acceso a datos confidenciales en un depósito de almacenamiento. Este depósito de almacenamiento está configurado correctamente: no hay acceso directo a él, está respaldado y tiene habilitados los registros pertinentes. Aun así, se expone a través de una ruta más avanzada: se puede acceder a ella desde varias máquinas virtuales (instancias de AWS EC2).

Un caso válido de actividad empresarial puede requerir este acceso. Por ejemplo, una máquina virtual puede ejecutar una aplicación que requiere acceso a los datos en el depósito de almacenamiento. Sin embargo, estas máquinas virtuales contienen algunos CVE y están configuradas de manera que puedan exponerse públicamente.

Puede aprender todo eso desde la descripción de la alerta, el resumen y el gráfico. Esta alerta dice que un pirata informático puede acceder a cada una de estas máquinas virtuales (porque están expuestas públicamente) y explotar la vulnerabilidad en sus paquetes en ejecución para obtener control/acceso a esa VM y luego usar la VM para acceder a los datos en el depósito. 

En este punto, los equipos de seguridad buscarán más detalles. Al seleccionar el nodo de servicios, puede cambiar el contexto para obtener más información sobre estas máquinas virtuales. Luego puede desplazarse por las máquinas virtuales, examinar sus vulnerabilidades, verificar de qué paquetes forman parte, si existe una solución y más.

Para obtener un análisis más profundo de la ruta de ataque, puede explorar más profundamente a un nivel EC2 directo a través de la ruta de exposición pública.

Cifra 5: DSPM - Detalles de alerta

Cifra 6: DSPM - Detalles de alerta - Ruta de exposición pública

Aquí, podemos ver que la ruta de exposición pública para este EC2 involucra al grupo de seguridad y la ACL de VPC asociadas con la VM, un equilibrador de carga y un servicio de puerta de enlace de Internet. DSPM también resalta al grupo de seguridad con un signo de exclamación, lo que indica que juega un papel clave en esta exposición. Al hacer clic en el grupo de seguridad, se cambiará el contexto y se proporcionará información sobre el grupo de seguridad en sí.

Cifra 7: DSPM - Detalles de la alerta - Causa raíz de la exposición pública

Incluso si los miembros de su equipo no son expertos en la nube, podrán identificar fácilmente la causa raíz de la regla de entrada del grupo de seguridad. Esa regla permite el acceso directo. Pueden inspeccionar o copiar la regla y compartirla con el arquitecto o desarrollador de la nube que solucionará ese problema.

En otros casos, en lugar de (o además de) arreglar la exposición pública, los equipos pueden desear examinar los derechos otorgados a esta máquina virtual y explorar por qué tiene acceso al depósito de almacenamiento.

Cifra 8: DSPM - Detalles de alertas - Ruta de acceso

De manera similar a la ruta de exposición pública, esta vez los equipos pueden hacer clic en la “ruta de acceso” y observar una representación gráfica simple de los derechos de acceso. Los permisos en la nube pública son muy granulares. DSPM hace el trabajo pesado y explica el acceso. En este caso, el EC2 tiene un perfil de instancia asociado con un rol determinado que está vinculado a tres políticas, cada una de las cuales otorga diferentes niveles de acceso al depósito.

Nuevamente, los equipos pueden examinar cada uno de los objetos en el gráfico, copiar los metadatos relevantes o incluso ir directamente a la consola de AWS y solucionar los problemas. Gracias a nuestras capacidades de remediación, los equipos de seguridad pueden obtener una guía paso a paso sobre cómo resolver problemas y garantizar que sus datos en la nube permanezcan protegidos.

Para obtener más información sobre Zscaler DSPM, vea el seminario web de lanzamiento. 

Recursos adicionales

• Página web del DSPM: www.zscaler.com/dspm
• Ficha técnica: Zscaler DSPM de un vistazo
• Vídeo de demostración de Zscaler DSPM

Notas al pie

1. Cloud Security Alliance,Las configuraciones erróneas más comunes en la nube que conducen a infracciones de datos en la nube, 11 de octubre de 2023.

2. IBM, Informe sobre el coste de una filtración de datos 2023, 24 de julio de 2023.